Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Пример настройки Cisco Secure Desktop (CSD 3.1.x) на ASA 7.2.x для Windows с помощью ASDM

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (10 февраля 2011) | Английский (26 сентября 2015) | Отзыв


Содержание


Введение

Cisco Secure Desktop (CSD) расширяет безопасность технологии SSL VPN. CSD обеспечивает самостоятельный раздел для сеансов на рабочей станции пользователя. Эта область хранения данных в ходе сеанса зашифровывается, а по окончании сеанса SSL VPN полностью удаляется. В системе Windows настроить механизмы безопасности CSD можно в полной мере. В системах Macintosh, Linux и Windows CE доступны только средства очистки кэша, обзора WWW и доступа к файлам. CSD можно настроить на устройствах с ОС Windows, Macintosh, Windows CE и Linux со следующими платформами:

  • Устройство адаптивной защиты Cisco ASA серии 5500

  • Маршрутизаторы Cisco, которые выполняют Cisco Выпуски ПО IOS� 12.4 (6) T и позже

  • Концентраторы Cisco VPN серии 3000 версии 4.7 и более поздние

  • Модуль Cisco WebVPN на маршрутизаторах серий Catalyst 6500 и 7600

Примечание: Выпуск 3.3 CSD теперь позволяет вам настраивать Cisco Secure Desktop для работы удаленных компьютеров, которые выполняют Microsoft Windows Vista. {\f3 Ранее в Cisco Secure Desktop поддерживались только компьютеры с ОС Windows XP или 2000. Дополнительные сведения см. в разделе }{\f3 Новые функциональные улучшения }—{\f3 Secure Desktop в ОС Vista}{\f3 замечаний к выпуску Cisco Secure Desktop 3.3.}

В этом примере прежде всего освещены установка и настройка CSD на устройствах серии ASA 5500 для клиентов Windows. Для полноты приведены дополнительные конфигурации для клиентов Windows CE, Mac и Linux.

CSD используется вместе с технологией SSL VPN (бесклиентской сетью SSL VPN, сетью SSL VPN с тонким клиентом или клиентом SSL VPN (SVC)). CSD расширяет практические возможности защищенных сеансов SSL VPN.

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

Требования к устройству ASA

Требования для клиентского компьютера

  • Рекомендуется наличие у удаленных клиентов прав локального администратора.

  • Удаленные клиенты должны иметь среду исполнения Java (JRE) версии 1.4 или выше.

  • Удаленные клиентские браузеры: Internet Explorer 6.0, Netscape 7.1, Mozilla 1.7, Safari 1.2.2 или Firefox 1.0

  • Cookie-файлы активированы, всплывающие окна разрешены на удаленных клиентах

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Cisco ASDM версии 5.2(1)

  • Cisco ASA версии 7.2(1)

  • Cisco CSD версии securedesktop-asa-3.1.1.32-k9.pkg

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все описываемые в данном документе устройства были запущены со стандартными заводскими настройками. Если используемая сеть является действующей, убедитесь в понимании возможного влияния любой из применяемых команд. IP-адреса, используемые в этой конфигурации, представляют собой адреса RFC 1918. Такие IP-адреса недопустимы в Интернете и предназначены только для опытной лабораторной среды.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Общие сведения

CSD работает на базе технологии SSL VPN, поэтому перед настройкой CSD необходимо активировать бесклиентский режим, режим тонкого клиента или SVC.

Схема сети

Возможно настроить различные местоположения Windows со всеми параметрами безопасности CSD. В системах Macintosh, Linux и Windows CE доступны только средства очистки кэша и/или обзора WWW и доступа к файлам.

В этом документе использованы параметры данной сети:

/image/gif/paws/70633/csd_on_asa-3.gif

Настройка CSD на устройстве ASA для клиентов Windows

Настройка CSD на устройстве ASA для клиентов Windows состоит из пяти основных шагов:

Получение, установка и применение ПО CSD

Чтобы получить, установить и применить ПО CSD на устройстве Cisco ASA, выполните следующие шаги.

  1. Загрузите ПО CSD securedesktop-asa*.pkg и файлы примечаний (readme) на станцию управления с сайта загрузок ПО Cisco.

  2. Войдите в ASDM и нажмите кнопку Configuration (Настройка). В меню слева нажмите кнопку CSD Manager и щелкните ссылку Cisco Secure Desktop.

    /image/gif/paws/70633/csd_on_asa-1.gif

  3. Чтобы открыть окно Upload Image (Загрузка образа), щелкните Upload (Загрузить).

    1. Теперь либо введите путь к новому файлу .pkg на станции управления, либо щелкните Browse Local Files (Обзор локальных файлов) для отыскания файла.

    2. Введите местоположение размещения файла на флэш-памяти или нажмите кнопку Browse Flash (Обзор флэш-памяти).

    3. Щелкните Upload File (Загрузить файл).

    4. Когда появится запрос, выберите OK > Close (Закрыть) > OK.

    /image/gif/paws/70633/csd_on_asa-23.gif

  4. После загрузки образа клиента во флэш-память установите флажок Enable SSL VPN Client (Разрешить клиент SSL VPN) и нажмите Apply (Применить).

  5. Нажмите Save и Yes, чтобы принять изменения.

Определение местоположений Windows

Для определения местоположений Windows выполните следующие шаги.

  1. Нажмите кнопку Configuration (Конфигурация).

  2. В меню слева нажмите кнопку CSD Manager и щелкните ссылку Cisco Secure Desktop.

  3. На панели навигации выберите Windows Location Settings (Настройки местоположения Windows).

  4. Введите имя местоположения в поле Location to Add (Добавляемое местоположение) и нажмите кнопку Add (Добавить).

    Обратите внимание на три местоположения в этом примере: Office, Home и Others.

    • {\f3 Office }—{\f3 это рабочие станции, расположенные в границах корпоративной среды безопасности.}

    • {\f3 Home }—{\f3 пользователи, работающие из дома.}

    • {\f3 Other }—{\f3 любое иное местоположение, кроме двух упомянутых.}

    csd_on_asa-5.gif

  5. В соответствии с архитектурой вашей сети можно создавать собственные местоположения: для отдела продаж, гостей, партнеров и прочих целей.

  6. По мере создания местоположений Windows область навигации в окне расширяется: для каждого нового местоположения добавляются настраиваемые модули. Выберите Apply All (Применить все).

  7. Нажмите Save и Yes, чтобы принять изменения.

Идентификация местоположений Windows

Для идентификации местоположений Windows выполните следующие шаги.

  1. Идентифицируйте местоположения, созданные на шаге Определение местоположений Windows.

    /image/gif/paws/70633/csd_on_asa-6.gif

  2. Для идентификации местоположения Office щелкните Office в области навигации.

    1. Снимите флажки Secure Desktop и Cache Cleaner, поскольку компьютеры являются внутренними.

    2. Отметьте флажок Enable identification using IP (Разрешить идентификацию по критериям IP).

    3. Введите диапазоны IP-адресов внутренних компьютеров.

    4. Отметьте флажок Enable identification using registry or file criteria (Разрешить идентификацию по критериям для реестра и файлов). Это позволит отличать офисный персонал от случайных гостей в сети.

    /image/gif/paws/70633/csd_on_asa-7.gif

  3. Щелкните Configure Criteria (Настроить критерии). Настраивается простой пример файла «DoNotDelete.txt». Этот файл должен существовать на внутренних компьютерах Windows и представляет собой фиктивный заполнитель. Можно настроить ключ реестра Windows для идентификации внутренних компьютеров в офисе. В окне Add File Criterion (Добавление критерия файла) нажмите OK. В окне Registry and File Criteria (Критерии для реестра и файлов) нажмите кнопку OK.

    /image/gif/paws/70633/csd_on_asa-8.gif

  4. В окне Identification for Office (Идентификация местоположения Office) нажмите Apply All (Применить все). Нажмите Save и Yes, чтобы принять изменения.

  5. Для идентификации местоположения Home щелкните Home в области навигации.

    1. Отметьте флажок Enable identification using registry or file criteria (Разрешить идентификацию по критериям для реестра и файлов).

    2. Щелкните Configure Criteria (Настроить критерии).

    /image/gif/paws/70633/csd_on_asa-9.gif

  6. Клиенты в виде домашних компьютеров должны быть предварительно настроены администратором с использованием этого ключа реестра. В окне Add Registry Criterion (Добавление критерия реестра) нажмите OK. В окне Registry and File Criteria (Критерии для реестра и файлов) нажмите кнопку OK.

    /image/gif/paws/70633/csd_on_asa-10.gif

  7. В разделе Location Module (Модуль местоположения) отметьте флажок Secure Desktop. В окне Identification for Home (Идентификация местоположения Home) нажмите Apply All (Применить все). Нажмите Save и Yes, чтобы принять изменения.

  8. Для идентификации местоположения Other щелкните Other в области навигации.

    1. Отметьте только флажок Cache Cleaner; остальные флажки снимите.

    2. В окне Identification for Other (Идентификация для местоположения Other) нажмите кнопку Apply All (Применить все).

    3. Нажмите Save и Yes, чтобы принять изменения.

    /image/gif/paws/70633/csd_on_asa-11.gif

Настройка модулей местоположения Windows

Чтобы настроить модули для каждого из трех созданных местоположений, выполните следующие шаги.

  1. Для клиентов Office не предпринимайте никаких действий, поскольку Secure Desktop и Cache Cleaner на предыдущих шагах выбраны не были. Приложение ASDM позволяет настроить средство Cache Cleaner, даже если оно не было выбрано на предыдущем шаге. Оставьте для местоположения Office настройки по умолчанию.

    Примечание: Политика Функции VPN не обсуждена в этом шаге, но это будет обсуждено в последующем шаге для всех местоположений.

  2. Для клиентов домашнего местоположения (Home) выберите в панели навигации: Home и Keystroke Logger.

    1. В окне Keystroke Logger отметьте Check for keystroke loggers (Проверять наличие клавиатурных шпионов).

    2. В окне Keystroke Logger нажмите кнопку Apply All (Применить все).

    3. Нажмите Save и Yes, чтобы принять изменения.

    /image/gif/paws/70633/csd_on_asa-12.gif

  3. Для местоположения Home выберите Cache Cleaner с параметрами, подходящими для вашего окружения.

    /image/gif/paws/70633/csd_on_asa-13.gif

  4. Для местоположения Home выберите Secure Desktop General (Общие параметры Secure Desktop) с параметрами, подходящими для вашего окружения.

    /image/gif/paws/70633/csd_on_asa-14.gif

  5. Для местоположения Home выберите Secure Desktop Settings (Настройки Secure Desktop).

    1. Отметьте флажок Allow email applications to work transparently (Разрешить прозрачную работу приложений для электронной почты) и настройте другие параметры в соответствии с вашим окружением.

    2. Выберите Apply All (Применить все).

    3. Нажмите Save и Yes, чтобы принять изменения.

    /image/gif/paws/70633/csd_on_asa-15.gif

Настройка функций местоположения Windows

Настройте политику функций VPN для каждого из созданных местоположений.

  1. В области навигации щелкните Office, затем щелкните VPN Feature Policy (Политика функций VPN).

  2. Щелкните вкладку Group-Based Policy (Политика на основе группы).

    1. Выберите переключатель Always use Success Group-Policy (Всегда использовать групповую политику для успешных случаев).

    2. Выберите вкладку Web browsing (Обзор WWW) и выберите переключатель Always Enabled (Всегда разрешен).

    3. Повторите эту процедуру для вкладок File access (Доступ к файлам), Port forwarding (Переадресация портов) и Full tunneling (Полное туннелирование).

    4. Выберите Apply All (Применить все).

    5. Нажмите Save и Yes, чтобы принять изменения.

    /image/gif/paws/70633/csd_on_asa-16.gif

  3. Для пользователей местоположения Home каждая корпорация может предписывать определенную политику как условие разрешения доступа. В области навигации щелкните Home, затем щелкните VPN Feature Policy (Политика функций VPN).

    1. Щелкните вкладку Group-Based Policy (Политика на основе группы).

    2. Если совпали предварительно настроенные критерии, например, конкретный ключ реестра, известное имя файла или цифровой сертификат, то выберите переключатель Use Success Group-Policy (Использовать групповую политику для успешных случаев).

    3. Отметьте флажок Location Module (Модуль местоположения) и выберите Secure Desktop.

    4. Выберите области Anti-Virus, Anti-Spyware, Firewall (Антивирус, защита от шпионского ПО, межсетевой экран) и OS (ОС) в соответствии с политикой безопасности вашей компании. Домашним пользователям не будет разрешен выход в сеть, если их компьютеры не удовлетворяют настроенным критериям.

    /image/gif/paws/70633/csd_on_asa-17.gif

  4. В области навигации щелкните Other, затем щелкните VPN Feature Policy (Политика функций VPN).

    1. Щелкните вкладку Group-Based Policy (Политика на основе группы).

    2. Выберите переключатель Always use Success Group-Policy (Всегда использовать групповую политику для успешных случаев).

    /image/gif/paws/70633/csd_on_asa-18.gif

  5. Для клиентов этого местоположения VPN Feature Policy щелкните вкладку Web Browsing (Обзор WWW) и выберите переключатель Always Enabled (Всегда разрешен).

    1. Выберите вкладку File Access (Доступ к файлам) и выберите переключатель Disable (Запрещен).

    2. Повторите этот шаг со вкладками Port Forwarding (Переадресация портов) и Full Tunneling (Полное туннелирование).

    3. Выберите Apply All (Применить все).

    4. Нажмите Save и Yes, чтобы принять изменения.

    /image/gif/paws/70633/csd_on_asa-19.gif

Дополнительная настройка для клиентов Windows CE, Macintosh и Linux

Эти конфигурации необязательны.

  1. Если в области навигации выбран пункт Windows CE, отметьте флажок Web browsing (Обзор WWW).

    /image/gif/paws/70633/csd_on_asa-20.gif

  2. Если в области навигации выбран пункт Mac and Linux Cache Cleaner, отметьте флажок Launch cleanup upon global timeout (Запускать очистку по истечении глобального таймера).

    1. Измените период таймера в соответствии с вашими требованиями.

    2. В разделе VPN Feature Policy (Политика функций VPN) выберите переключатели Web browsing (Обзор WWW), File access (Доступ к файлам) и Port forwarding (Переадресация портов) для этих клиентов.

    /image/gif/paws/70633/csd_on_asa-21.gif

  3. Если выбран пункт Windows CE или Mac and Linux Cache Cleaner, щелкните Apply All (Применить все).

  4. Нажмите Save и Yes, чтобы принять изменения.

Настройка

Конфигурация

Данная конфигурация отражает изменения, произведенные ASDM для поддержки CSD: Большинство конфигураций CSD хранятся в отдельном файле во флэш-памяти.

Cisco — ASA
ciscoasa#show running-config 
 Building configuration...
ASA Version 7.2(1) 

!

hostname ciscoasa

domain-name cisco.com

enable password 2KFQnbNIdI.2KYOU encrypted

names

!

interface Ethernet0/0

 nameif outside

 security-level 0

 ip address 172.22.1.160 255.255.255.0 

!

interface Ethernet0/1

 nameif inside

 security-level 100

 ip address 10.2.2.1 255.255.255.0 

!

interface Ethernet0/2

 shutdown

 no nameif

 no security-level

 no ip address

!

interface Management0/0

 shutdown

 no nameif

 no security-level

 no ip address

 management-only

!

passwd 2KFQnbNIdI.2KYOU encrypted

ftp mode passive

dns server-group DefaultDNS

 domain-name cisco.com

no pager

logging enable

logging asdm informational

mtu outside 1500

mtu inside 1500


!--- ASDM location on disk0


asdm image disk0:/asdm521.bin

no asdm history enable

arp timeout 14400

nat-control

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout uauth 0:05:00 absolute

!--- some group policy attributes

group-policy GroupPolicy1 internal

group-policy GroupPolicy1 attributes

 vpn-tunnel-protocol IPSec l2tp-ipsec webvpn

 webvpn

  functions url-entry file-access file-entry file-browsing

username user1 password mbO2jYs13AXlIAGa encrypted privilege 15

username user1 attributes

 vpn-group-policy GroupPolicy1

username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 15

username cisco attributes

 vpn-group-policy DfltGrpPolicy

 webvpn

  port-forward none

  port-forward-name value Application Access

http server enable

http 10.2.2.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

!--- tunnel group information

tunnel-group DefaultWEBVPNGroup general-attributes

 default-group-policy GroupPolicy1

tunnel-group DefaultWEBVPNGroup webvpn-attributes

 hic-fail-group-policy GroupPolicy1

 nbns-server 10.2.2.30 timeout 2 retry 2

telnet timeout 5

ssh timeout 5

console timeout 0

!

class-map inspection_default

 match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

 parameters

  message-length maximum 512

policy-map global_policy

 class inspection_default

  inspect dns preset_dns_map 

  inspect ftp 

  inspect h323 h225 

  inspect h323 ras 

  inspect netbios 

  inspect rsh 

  inspect rtsp 

  inspect skinny 

  inspect esmtp 

  inspect sqlnet 

  inspect sunrpc 

  inspect tftp 

  inspect sip 

  inspect xdmcp 

!

service-policy global_policy global

!--- webvpn parameters

webvpn

 port 1443

 enable outside

 enable inside

!--- csd location

 csd image disk0:/securedesktop-asa-3.1.1.32-k9.pkg

 csd enable

 customization DfltCustomization

  title text YOUR-COMPANY SSL VPN Services

  title style background-color: rgb(204,204,255);color: rgb(51,0,255);

  border-bottom:5px groove #669999;font-size:larger;vertical-align:middle;text-align:

  left;font-weight:bold

 url-list ServerList "Windows Shares" cifs://10.2.2.30 1

 url-list ServerList "Tacacs Server" http://10.2.2.69:2002 2

 tunnel-group-list enable

prompt hostname context 

Cryptochecksum:a840d81f0af21d869db4fa559e83d6d0

: end
 !
 end

Проверка.

Этот раздел позволяет подтвердить, что конфигурации для бесклиентской сети SSL VPN, тонкого клиента SSL VPN или клиента SSL VPN (SVC) работают должным образом.

Проверяйте CSD с ПК, настроенным с использованием различных местоположений Windows. Каждая проверка должна предусматривать разные сценарии доступа в соответствии с политикой, настроенной в приведенном выше примере.

Можно изменить номер порта и интерфейс, на которых устройство Cisco ASA будет прослушивать подключения WebVPN.

  • {\f3 Порт по умолчанию }—{\f3 443. Если используется порт по умолчанию, то строка адреса для доступа будет иметь вид }{\f3 https://IP-адрес-ASA}{\f3 .}

  • При использовании другого порта строка принимает вид https://IP-адрес-ASA:новый-номер-порта.

Команды

Некоторые команды show связаны с WebVPN. Эти команды можно выполнить в интерфейсе командной строки (CLI) для отображения статистики и другой информации. Использование команд show подробно иллюстрируется в разделе Проверка конфигурации WebVPN.

Примечание: Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

При возникновении проблем с удаленным клиентом выполните следующие проверки:

  1. Включены ли в web-браузере всплывающие окна, Java и/или ActiveX? Эти компоненты может потребоваться включить в зависимости от используемого типа подключения сети SSL VPN.

  2. Клиент должен принять электронные сертификаты, предложенные в начале сеанса.

Команды

Некоторые команды debug связаны с WebVPN. Дополнительную информацию о данных командах см. в документе Использование команд WebVPN debug..

Примечание: Использование команд debug может неблагоприятно сказаться на производительности модуля Cisco. Перед использованием команд debug ознакомьтесь с документом Важные сведения о командах debug.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 70633